こんにちは。スプラッシュトップ編集部です。
テレワークの普及が加速するなか、 VPN(仮想プライベートネットワーク)を利用する企業は増加しています。しかし一方で、VPN製品を狙ったサイバー攻撃も同様に増加しています。
VPN製品の脆弱性については専門機関から過去に何度も注意喚起されていましたが、いまだ必要な対策を採っていない企業も多く、情報漏洩の危険性が問題視されています。
本記事では、2020年8月に実際に起こったVPNの情報漏洩の事例などを紹介し、テレワークにおける必要なセキュリティ対策について解説します。
VPNによる大規模な情報漏洩事故が2020年8月に発生
ここでは、2020年8月に発生したVPNによる大規模な情報漏洩事故の概要や情報流出の経緯、過去に起きたVPNによる情報漏洩の事例について紹介します。
情報漏洩事故の概要
2020年8月中旬に、国内外の900社以上のVPN情報などがダークウェブ上に流出していることが、内閣サイバーセキュリティセンターによって確認されました。被害に遭った900社のうち38社が日本企業で、そのなかには国内屈指の大企業も含まれていました。被害を受けた企業はアメリカのパルスセキュア社製のVPN装置を利用していたことがわかり、当該装置の脆弱性が悪用された情報漏洩事故でした。
パルスセキュア社のVPN装置は2019年4月に脆弱性が指摘されており、同社はすぐにセキュリティパッチを公開し、ユーザーに更新するように注意喚起していました。しかし、一部の利用企業は更新前の未対策VPN装置を使い続けており、これが今回の情報漏洩の原因とされています。
VPNの情報はどのように流出したのか
パルスセキュア社製のVPN装置に見つかった脆弱性とは、細工をしたデータをVPN装置に送信するだけで、保存されている任意のファイルを取得し、ユーザーIDとパスワードが盗み出せるようになっていたというものです。
国内のコンピュータセキュリティ事故について、状況の分析や対策の検討・助言を行っている、「一般社団法人 JPCERTコーディネーションセンター」(以降JPCERT/CC)の報告によると、当該製品のIPアドレスに加えて、ユーザーIDや暗号化されていないパスワードやセッション情報などがインターネット上に流出したということです。
VPNによる情報漏洩の過去の事例
VPNの脆弱性が悪用されたセキュリティ事故は過去にも存在します。2018年に起こった例では、オンラインゲームを運営する企業において、VPNを経由した社内サーバーへの不正アクセスが確認されました。この事例では同社が運営する13タイトルのサービスが停止したため、事業に多大な影響を与えることになりました。
その他にも、大手の外貨両替専門Travelex社の事例では、VPN装置の脆弱性を悪用され大規模なランサムウェア感染被害に遭っています。ランサムウェアは重要なデータを人質とし、金銭を要求するマルウェアの一種です。この事例では600万ドル分の身代金を払わなければ5GB分の個人情報を公開するといった脅迫を受けています。
このように、安全といわれているVPNでも多くのセキュリティ事故が発生しています。
脆弱性を抱えたVPNサーバーは世界で1万4,500台にも
2020年8月に報告された情報漏洩事故は、パルスセキュア社製VPN装置内の情報が漏洩するにとどまりましたが、最悪の場合、VPNサーバー経由で企業ネットワークに侵入されてしまう危険性も考えられます。
また、JPCERT/CCは当該製品以外にも、アメリカのフォーティネット社やパロアルトネットワークス社製のVPN製品にも問題が見つかったとして、2019年から注意を呼びかけています。 参照:JPCERT/CC
アメリカのバッドパケッツ社の調べによれば、2019年8月時点でパルスセキュア社製品の脆弱性を抱えたままインターネット上で運用されているVPNサーバーは世界で1万4,500台もあり、そのうちの1,511台が日本にあるとされていました。その後、JPCERT/CCの国内調査では2020年3月24日時点で約8割に対策が施されましたが、298件が対策されないまま残っていたという報告があります。
テレワークにおけるセキュリティ対策の重要性
今回の情報漏洩事故や過去の事例から見ても、VPNは必ずしも安全とは言い切れないことがわかります。テレワークの利用は今後も拡大することが予想されるため、製品の持つ危険性を念頭に置き、具体的なセキュリティ対策を採りながらVPNを導入することが重要です。
具体的なセキュリティ対策としては、販売元であるベンダーから提供されるセキュリティパッチを随時適用することだけではなく、ID・パスワードでの認証以外に、SMS 認証やスマホアプリ認証など、複数の認証を取りいれた多要素認証を導入し、セキュリティ強度を高める対策が有効です。
ただし、セキュリティパッチの適用はVPNサーバーとなる装置だけでなく、クライアントソフトウェアのアップデートも必要となる場合が多くあります。ユーザーによる手動の適用状況によっては、セキュリティパッチの適用前に攻撃される“ゼロデイ攻撃”の標的になる可能性も考えられます。
これまでは企業の拠点に専門家を呼んで対応することもできましたが、テレワークで在宅勤務中の従業員の端末が被害に遭った場合は対処が難しくなります。このことから、システム上のセキュリティ対策、従業員の安全に対する意識の向上も課題となるでしょう。
VPN以外の選択肢-リモートデスクトップ“Splashtop”
VPNを導入する際には、前述のセキュリティ対策だけではなく、運用・保守も検討しなければなりません。ベンダーから提供されるセキュリティパッチの定期的な適用をはじめ、利用時の混雑による遅延の対策など、VPNの運用は費用が膨大になることがあり、管理者の手間も増えてしまいます。そこで、今後テレワークを実施するのであれば、VPN以外の手段も検討してみてはいかがでしょうか。
高セキュリティで運用の負担が少ないテレワークを実現するためのソリューションとして“Splashtop”が存在します。Splashtopはリモートデスクトップ製品であり、SSL/AES256ビット暗号化通信によって接続間の通信を暗号化しているため、高セキュリティを実現できます。
リモートデスクトップ接続をする際は、直接社内PCへ接続するのではなく、AWS(Amazon Web Service)やGCP(Google Cloud Platform)のゲートウェイ・リレーサーバーを経由する3ステップ接続のため、ファイアウォールを含む既存のセキュリティ対策に影響を与えることなく導入することが可能です。
加えて、2段階認証やデバイス認証機能など、ユーザーIDとパスワードだけにとどまらない認証機能も有しており、不正アクセスの対策も行なえます。
具体的な接続方法に関しては、こちらの動画で詳しく解説していますので、ぜひご参照ください。
安全なテレワーク環境構築のために
VPNは安全性の高いリモートアクセス手段とされてきましたが、今回の情報漏洩事故によって安全性に問題があるケースも見えてきました。必ずしもVPNが危険なものというわけではありませんが、運用、保全に注意を払う必要があります。
新型コロナウイルスの影響によって導入が加速するテレワークは、今後もさらに広がっていくことが予想されます。テレワークを安全に行なうための環境づくりは、企業の経営課題としても重要になってくるといえるでしょう。
安全なテレワーク環境を構築するために、VPN以外の環境構築手段としてSplashtopを検討されてみてはいかがでしょうか。